~Maker Interview~

メーカのHOTなトピックス、今最も注力している製品にフォーカスし、
開発現場や製品企画担当の方々に戦略や今後の方針を語っていただくコーナー。
※最新の業界動向を毎月お届けします。

メーカーインタビュー > IoTデバイスのセキュリティが危ない、ハードウエア・ベースの専用チップを実用化

IoTデバイスのセキュリティが危ない、ハードウエア・ベースの専用チップを実用化

湯沢美紀 氏

 将来、IoT(Internet of Things)は、極めて大きな市場に成長するーーー。さまざまな市場調査会社がそう予測している。工場やオフィス、一般家庭、橋や道路などのインフラ、自動車、ロボットなど、さまざまなモノに通信機能とセンサーを取り付けて、情報をやり取りしたり、情報を取得してビッグデータとして活用する。次世代の情報通信(ICT)産業を支える技術/コンセプトだと言えるだろう。
 しかし、IoT市場の成長に不安材料が存在しないわけではない。それはセキュリティだ。IoTデバイスが攻撃を受ければ情報を盗まれるだけでなく、不正/有害な動作を意図して作成された悪意のあるソフトウエア「マルウエア」に感染すれば分散型サービス妨害攻撃(DDoS:Distributed Denial of Service attack)に荷担してしまうことになる。無意識のうちに加害者になる危険性を秘めている。
 従って、膨大な数のIoTデバイスが普及してから対策を打つのでは遅すぎる。現時点からセキュリティ対策を施すことが求められるわけだ。独Infineon Technologies社は、こうした危機感の元、IoTデバイスに向けたセキュリティ・チップ「OPTIGA™ Trust X」の製品化を2018年2月に発表した。今回は、インフィニオン テクノロジーズ ジャパン チップカード&セキュリティ事業本部 マーケティング部の主任である湯沢美紀(ゆざわ・みき)氏に、IoT市場におけるセキュリティの重要性やOPTIGA™ Trust Xの特徴、最適な利用方法などについて聞いた(聞き手:山下勝己=技術ジャーナリスト)。

なぜ、IoTに向けたセキュリティ・チップを製品化したのか。その理由を教えてほしい。

湯沢 当社は、セキュリティ・チップ市場では業界をリードする立場を築いている。クレジット・カードやパスポートに向けたセキュリティ・チップでは、大きな市場シェアを獲得しており、2010年に製品化した組み込み向け汎用セキュリティ・チップ「OPTIGA TPM」でも着実に成果を積み上げている。しかし、今後さらに市場規模を拡大させたい。そうした想いから、IoT市場をターゲットにしたセキュリティ・チップを製品化した。

IoTに向けたセキュリティ・チップの潜在的な市場規模は大きいのか。

湯沢 かなり大きいと考えている。IoTの経済効果は、2024年には19兆米ドルに達すると見込まれている。さらにネットワークに接続されるIoTデバイスの個数は2022年に1兆個を超えるという予想もある。
 現時点ではまだ、IoTデバイスは利便性の高さを優先させた開発が主流だが、いずれ安全なコミュニケーションを重視した開発が必要不可欠になるだろう。あまり広く普及していない段階では、悪意を持ったハッカーからの攻撃にさらされる危険性はさほど高くないが、普及が進めば進むほど危険度は飛躍的に高まっていくからだ。

IoTデバイスでは、セキュリティに関してどの程度の危険性が潜んでいると考えているのか。

湯沢 そもそもネットワークのセキュリティについては、非常に大きな危険性を抱えているのが実情だ。米国では、1年間に3000億米ドルもの知的財産がネットワーク経由で盗まれているという。さらに、イランの原子力施設や、ドイツの鉄工所、ウクライナの発電所などで、サーバーがアタック(攻撃)を受けてシステムがダウンし、業務が停止する事態が実際に発生している。個人レベルでは、インターネット・ユーザーの71%が個人データを盗まれることを恐れているという。
 現状では、パソコンを足掛かりにアタックを受けるケースが多い。例えば、悪意のあるハッカーが電子メールを送る。それを開くと、パソコンが感染してしまい、オフィスのネットワークに自由にアクセスできるようになってしまう。さらに工場のネットワークとの間にはファイヤーウォールが設けられているが、パスワードやIDを入手できれば、それにも侵入できてしまう。この結果、さまざまな知的財産が盗み出されてしまう。
 IoTデバイスが普及すれば、パソコンの代わりにIoTデバイスが悪用される危険性が高まる。さらにIoTデバイスがマルウェアに感染してしまえば、分散型サービス妨害攻撃(DDoS)に荷担してしまう事態も考えられるだろう。

現在、IoTデバイスの開発現場では、セキュリティの確保を十分に考慮しているのか。

湯沢 今は過渡期。開発者の多くが、セキュリティの確保を気にしているが、実際にまだ設計にセキュリティ対策を盛り込めていないのが実情である。

ソフト+ハードで対策

IoTデバイスのセキュリティ対策は、ソフトウエアで対応するのか、それともハードウエアで対応するのか。

図1 信頼の基点の重要性
セキュリティ・チップに暗号鍵を格納することで、信頼の基点を確保する。こうすることで高いセキュリティ・レベルが得られる。

湯沢 現在、電子機器では、ファームウエアを立ち上げるときに、複数の段階(パート)を用意し、それぞれのパートでハッシュ値を比較し、正しいと判断できれば次の段階に進むという仕組みを導入している。これを「セキュア・ブート」と呼ぶ。しかし、こうした対策では、暗号鍵を盗まれてしまえば、不正なアクセスが可能になる。
 つまり、ソフトウエアだけの対応では不十分であり、ハードウエアを組み合わせて対応する必要がある。信頼の基点は暗号鍵(秘密鍵)/証明書にあるからだ(図1)。暗号鍵や証明書をフラッシュ・メモリーなどに保存するだけでは、何らかの方法で盗まれてしまう危険性がある。ソフトだけの対策では多くの場合その不具合による脆弱性の問題があり、ハッカーはその脆弱性を利用し暗号鍵などの重要な情報を盗むことができる。暗号鍵を盗まれたら、家の鍵が盗まれたことと同じで、外から自由に出入りできるようになる。高価な知的財産を盗まれてしまうだろう。
 そこで、暗号鍵や証明書をハードウエア的に格納するIoT向けセキュリティ・チップ「OPTIGA™ Trust X」を製品化した(図2)。暗号鍵は、いわば金庫の鍵である。そのため専用ICで保管すべきだと考えている。

なぜ専用のセキュリティ・チップが必要なのか。IoTデバイスに搭載するマイコンで対策を打てれば、コストや実装面積が増えない。

図2 IoTデバイスに最適化したセキュリティ・チップ
「OPTIGA™ Trust X」は、IoTデバイスに最適化したセキュリティ・チップである。セキュリティ・レベルは「CC EAL 6+」が得られる。暗号鍵長はECCの384ビットである。10Kバイトの不揮発性メモリーを内蔵する。

湯沢 マイコンでは、例えば、セキュリティ評価を行えない、マイコンのロードマップとセキュリティのロードマップが合わない、耐タンパー性を持たせるとコストが上がるもしくはパフォーマンスが低下する、などの問題がある。マイコンは本来、システムを制御するプログラム・コードを実行する役割を担っている。セキュリティ機能を追加できるほど、リソースは余っていない。しかもIoTデバイスは、組み込みLinuxやリアルタイムOSなどの高性能なOSを搭載してないケースが多い。従って、マイコンにセキュリティ機能を実装することは困難だと言わざるを得ない。もし実装してもそのようなマイコンのロードマップは一般のマイコンのものとは異なりユーザは不便を感じることになる。
 さらにコストの観点で考えても、マイコンの活用は厳しい。耐タンパー性をマイコン全体に施すコストは高い。また、セキュリティに関するソフトウエアの開発費も大きい。OPTIGA™ Trust Xであれば、ソフトウエアがバンドルされているため、開発費は低い。

Infineon社の従来品であるOPTIGA TPMとの違いは何か。

図3 セキュリティ・レベルの比較
Infineon社が製品化しているセキュリティ・チップで得られるセキュリティ・レベルを比較した。

湯沢 OPTIGA™ Trust Xは、IoTデバイスに最適化したセキュリティ・チップだ。このため汎用セキュリティ・チップであるOPTIGA TPMに比べると機能を絞り込んでいる(図3)。例えば、OPTIGA™ Trust Xで扱える暗号鍵の個数は4個だが、TPMは無制限だ。ただし、IoTデバイスであれば、4個でも十分に高いセキュリティ・レベルが得られる。
 例えば、コンピュータセキュリティの国際規格であるコモンクライテリア(CC:Common Criteria)は「CC EAL 6+」をクリアできる。さらに、インターネット上で安全にデータを送受信するハンドシェーク技術であるDTLS(Datagram Transport Layer Security)に対応している(図4)。
 なお当社は、パソコン周辺機器などに向けたセキュリティ・チップ「OPTIGA™ Trust E」と、電池パックやカートリッジなどの消耗品に向けた片側認証に機能を絞った「OPTIGA™ Trust B」も製品化している。OPTIGA™ Trust Xのセキュリティ・レベルは、OPTIGA™ Trust Eと同等で、OPTIGA™ Trust Bよりも高い。

IoTデバイス・メーカー側では、ソフトウエアを一切開発する必要はないのか。

図4 DTLS技術に対応
インターネット上でやり取りするデータの盗聴や改ざんを防止するDTLS(Datagram Transport Layer Security)技術に対応した。

湯沢 基本的に当社がすべて提供する。つまりターンキー・ソリューションである。購入したら、必要なライブラリィを当社から提案し、暗号鍵(公開鍵と秘密鍵)は当社が書き込んでから納入する。そのため開発期間は非常に短く、製品投入までの期間を大幅に短縮できる。

さまざまな攻撃から守る

専用ICに暗号鍵を格納していると、なぜセキュリティ・レベルを高められるのか。その理由を教えてほしい。

湯沢 マイコンに暗号鍵を格納している際に、それを盗もうとする攻撃方法は大きく分けて4つある。
 1つ目は、故障利用攻撃である。電圧グリッチなどを意図的にマイコンに与えることで、それによって発生したエラーのコードなどを解析して暗号鍵を読み取る。2つ目はロジカル攻撃である。ソフトウエアの脆弱性を突いて暗号鍵を読み出す。3つ目は、プロ−ビング攻撃である。マイコンを分解して、当該箇所にプローブを実際に当てて暗号鍵を読み出す。マイコンの分解やプロ−ビングなどにかなり高いノウハウが必要で、スキルやコストが求められる攻撃方法である。4つ目は、サイドチャネル攻撃である。マイコンの動作をさまざまな物理的な手段で解析して暗号鍵を読み出す。さらに細かく分類すると、処理時間に着目したタイミング攻撃や、消費電力に着目した消費電力解析攻撃、マイコンから放射される電磁波に着目した電磁波解析攻撃などがある。

OPTIGA™ Trust Xを使えば、いずれの攻撃を受けても暗号鍵を守れるのか。

湯沢 いずれの攻撃を受けても、暗号鍵を守れるようにハードウエア的な対策を施してある。しかし、詳細は明らかにできない。明らかにすれば、悪意のあるハッカーに攻撃のヒントを与えてしまうことなるからだ。

そもそも御社の内部から情報が漏れたら、暗号鍵は盗まれてしまう。

湯沢 この点についても、最大限の対策を打っている。セキュリティ・チップは、ドイツのドレスデン工場で製造しているが、公開鍵と秘密鍵のペアは、セキュリティ・レベルが最も高い場所で作成している。当社の中でも、その場所に入ることができるのは数名だけ。もちろん、私も入ったことはない。

IoTの中でもどういった用途にターゲットを絞っているのか。

図5 ターゲットとする市場

湯沢 例えば、スマートホームやIndustry 4.0の工場内ネットワークなどをターゲットにしている(図5)。こうした用途にOPTIGA™ Trust Xを搭載すれば、贋物の判別やセキュアな課金システム、盗聴の防止、データの書き換え防止、ファームウエアの不正なアップデートの防止などを実現できる。

評価キットなどを用意しているのか。

図6 開発キットを用意

湯沢 OPTIGA™ Trust Xに対応した拡張ボード(Extension Board)を用意している(図6)。32ビット・マイコン「XMC4500」を搭載したボード「XMC Relax Kit」と接続して使用する。XMC Relax Kitをパソコンに接続するだけで、認証やセキュア・コミュニケーション、ファームウエアのアップデート、公開鍵/秘密鍵の確認、セキュア・ブートアップなどの機能を確認できる。